У каждого агента восстановления есть специальный сертификат с соответствующим закрытым ключом, позволяющий восстанавливать данные в области влияния политики восстановления. Агенту восстановления следует использовать команду Экспорт из объекта MMC «Сертификаты» для создания в безопасном месте резервной копии сертификата восстановления и закрытого ключа. После создания резервной копии следует использовать объект MMC «Сертификаты» для удаления сертификата восстановления. Если требуется выполнить для пользователя операцию восстановления, следует сначала восстановить сертификат восстановления и связанный закрытый ключ с помощью команды Импорт из объекта MMC «Сертификаты». После восстановления данных сертификат восстановления снова должен быть удален. Нет необходимости повторять процесс экспорта.

Чтобы добавить агентов восстановления в домен, нужно добавить их сертификаты к существующей политике восстановления.

Сведения о добавлении и удалении агента восстановления не обновляются автоматически в существующих файлах системы EFS. Данные этих файлов обновляются при следующем открытии файла. Новые файлы используют текущие сведения агента восстановления.

3.4. Восстановление зашифрованных файлов и папок

Чтобы восстановить зашифрованный файл или папку

Чтобы восстановить зашифрованный файл или папку, следует использовать программу «Архивация данных» или другое средство архивации для восстановления пользовательской архивной версии зашифрованного файла или папки на компьютер, где размещен сертификат восстановления файла.

Процедура восстановления зашифрованных данных начинается с обращения к проводнику Windows. Правой кнопкой мыши следует кликнуть зашифрованную папку или диск, а затем выбрать команду «Свойства». На вкладке «Общие» надо нажать кнопку «Дополнительно» и снять флажок «Шифровать содержимое для защиты данных». Затем нужно сделать резервную копию расшифрованного файла или папки и вернуть резервную копию пользователю.

Резервная копия расшифрованного файла или папки может быть возвращена пользователю как вложение в сообщение электронной почты, на гибком диске или как общий файл в сети.

Также можно транспортировать закрытый ключ и сертификат агента восстановления, импортировать закрытый ключ и сертификат, расшифровать файл или папку и удалить импортированный закрытый ключ и сертификат. В ходе данной процедуры закрытый ключ менее защищен, чем в вышеописанной, и не требует никаких операций архивации и сохранения или перемещения файла.

Агенту восстановления следует использовать команду «Экспорт из объекта MMC «Сертификаты»» для экспорта на гибкий диск сертификата восстановления файлов и закрытого ключа. Гибкий диск следует хранить в безопасном месте. Если сертификат восстановления файлов или закрытый ключ на компьютере поврежден или удален, можно использовать команду «Импорт из объекта MMC «Сертификаты»» для замены поврежденного или удаленного сертификата и закрытого ключа файлами, заархивированными на гибком диске.

Восстановление зашифрованного файла или папки без сертификата шифрования файла

Для восстановления зашифрованного файла или папки без сертификата шифрования файла следует запустить служебную программу архивации и воспользоваться ею для создания копии файла в случае его потери или повреждения. Затем надо отправить исходный зашифрованный файл назначенному агенту восстановления. Агент восстановления должен использовать свои сертификаты и закрытые ключи для расшифровки файла. Агент восстановления должен отослать расшифрованный файл обратно, используя любой назначенный способ передачи файлов.

Администратор локального компьютера является агентом восстановления по умолчанию, если компьютер не находится в среде домена Active Directory. В среде домена Active Directory администратор, который вошел в первый контроллер домена, является агентом восстановления по умолчанию.

Отправить файл назначенному агенту восстановления можно несколькими способами, включая архивацию файла на ленту или гибкий диск.

Файлы, заархивированные с помощью программы архивации или других средств, остаются зашифрованными в месте размещения заархивированных файлов. Исходные файлы можно расшифровать или изменить, не влияя на зашифрованное состояние резервных копий.

Зашифрованные файлы или папки могут быть восстановлены самостоятельно, если на гибком диске хранится резервная копия сертификата шифрования файла и закрытого ключа в файле формата. pfx. Для импорта файла. pfx с гибкого диска в хранилище «Личные» следует использовать команду «Импорт из объекта MMC «Сертификаты»».

Чтобы создать на гибком диске резервную копию ключей восстановления, используемых по умолчанию